بعد از حمله سایبری به شرکت نفت آزمایشگاه ضدبدافزار ایمن که نخستین آزمایشگاه ضد بدافزار ایرانی میباشد خود را موظف دانست تا همانند حملاتی همچون استاکس نت باز به دنبال راههای شناخت و مقابله با این بدافزار باشد.
مهران رایانه:
با تحلیل های جهانی از فلیم موافقیم
آزمایشگاه ایمن , 24 خرداد 1391 ساعت 17:32
بعد از حمله سایبری به شرکت نفت آزمایشگاه ضدبدافزار ایمن که نخستین آزمایشگاه ضد بدافزار ایرانی میباشد خود را موظف دانست تا همانند حملاتی همچون استاکس نت باز به دنبال راههای شناخت و مقابله با این بدافزار باشد.
بعد از حمله سایبری به شرکت نفت آزمایشگاه ضدبدافزار ایمن که نخستین آزمایشگاه ضد بدافزار ایرانی میباشد خود را موظف دانست تا همانند حملاتی همچون استاکس نت باز به دنبال راههای شناخت و مقابله با این بدافزار باشد.
میتوان ویروس شعله را در میان بدافزارها و جاسوسافزارها یکی از خطرناکترین ومخربترین نوع بدافزار دانست، در یک نگاه میتوان مدعی بود که این ویروس بسیار پیشرفتهتر از Stuxnet و DuQu است، ساختار ماژولار و انعطاف پذیر و بسیار پیچیده و رمزگذاری شده به گونهایست که امکان دیباگ و مهندسی معکوس کردن را بسیار دشوار و یا حتی غیرممکن میسازد، این ویروس ظاهرا هر اقدامی را برای مهاجمان فراهم میسازد.
جمع آوری اطلاعات و فرستادن آنها ، نفوذ در شبکههای بزرگ (گاها صنعتی و مهم) ، از بین بردن اطلاعات سیستم آلوده، قدرت جستوجو، تحلیل و پردازش گونهای خاص از فایلها، از کار انداختن آنتیویروسها، امکان ارتباط و ارسال گزارش با مرکز فرماندهی خود و ... اینها تنها بخشی از قابلیتهای ویروس شعله است.
در این گزارش بیشتر مواردی را مورد بررسی قرار میدهیم که از دید کثیری از تحلیلگران پنهان مانده است.
با بررسی ویروس شعله میتوان بیان کرد که این ویروس از طریق فلش دیسک انتشار پیدا میکند و همچنین قابلیت منتشر شدن در سطح شبکه را نیز داراست، ویروس شعله برای آلوده ساختن از قابلیت Autorun ویندوز بهره میبرد.
نکته جالب توجه در بررسی ویروس شعله این بود که این بدافزار برای بدست آوردن اطلاعات در مورد قابلیتهای پهنای باند در فهرست وب سایتهای خود از سه وب سایت ایرانی استفاده کرده است، که تاکید بر آن دارد، ایران یکی از اهداف اصلی ویروس شعله بوده است.
طیف وسیعی از اطلاعات ثبت شده توسط ویروس شعله عبارت است:
اطلاعات عمومی سیستم :
local time
List of volumes,their serial number and FileSystem name
OS Version,Servise Pack Number
Computer Name
the list of running processes
a list of user-mode services and their state
a list of application form %AppData%
Internet Explorer,Microsoft Outlook and Microsoft Word versions
CodePage of the system (can be used for localization)
entries form %Program Files% directory
Time Zone Information
اطلاعات مربوط به شبکه :
information about Remote Desktop Services and Windows Firewall
open TCP/UDP Connections
information about the interface : MAC Address, IP Address, Gateway Address, Primary WINS Server Address, Secondary WINS Server Address, DHCP Server Address,
statistics about the transferred packest, in the case of WiFi adapters their PNP ID, the name of the adapter, subnet mask
IP routing information including persistent IP routing tables,IP Fprward Table
list of DNS servers
the contents of %windir%\system۳۲\drivers\.etc\hosts
the SSIDs stored in registry
domain information: the domain name to which the computer belongs, user account name, name of computer, group name, the Domain Controller Name
the local hostname
Dial-Up information
Proxy Server list
the links from "My Network Places"
cached DNS data table
the list of visible network share names and their addresses
names of files opened in Internet Explorer (from the URL cache)
a list of printers to which the computer is connected
the POP۳ Server Name and SMTP Mail Address of the accounts used in MS Outlook
information about disks(name, free space available,...)
cookies from yahoo.com
Internet Explorer saved and protected data
ثبت دادههای برنامههای مختلف در رجیستری :
Inno Setup
VNC
PenguiNet
RageWork File Manager
NetServe FTP Client
Jildi FTP Client
Cyd FTP Client
AceFTP ۳ FreeWare
Intersoft Secure Key Agent
DameWare Nt Utilities
Bitkinex ۲.۷
SmartFTP
VanDyke SecureCrt
Ipswitch WS_FTP
BulletProof Ftp Client
CuteFTP
FTP Explorer
Robo Ftp
SoftX.org FTP Client
Mssh
Emurasoft EmFTP
Netx NetserverFtpClient
Web Drive From South River Technologies
WinScp۲ (Martin Prikryl)
TeamViewer
RADMin
از سایر ویژگیهای ویروس شعله میتوان به سوء استفاده از حفرههای امنیتی، سرقت کلمات رمز و عبور، متوقف کردن پروسههای امنیتی ، شناسایی و از كار انداختن بیش از ۱۰۰ نرمافزار آنتیویروس، ضد بدافزار، فایروال و ... ، قابلیت اجرا در Windows XP , Vista , ۷ ، پردازش و تحلیل فایلهایی با پسوندهای
*.doc, *.docx, *.xls, *.dwg, *.kml *.ppt, *.csv, *.txt, *.url, *.pub, *.rdp, *.ssh, *.ssh۲, *.vsd, *.ora, *.eml
تصویربرداری از صفحه نمایشگر ، ضبط صدا و استفاده از آنها برای مقاصد جاسوسی اشاره کرد. این ویروس توانایی از بین بردن خود را نیز دارد.
لازم به ذکر است که قریب به ۹۰% اطلاعاتی که در محافل خبری معتبر و رسمی در مورد ویروس شعله ارائه شده درست بوده و مورد تائید آزمایشگاه ضد بدافزار ایمن میباشد. گرچه برای پی بردن به تمامی اصرار نهفته در این بدافزار نیاز به زمانی به مراتب بیشتر از اینهاست.
آزمایشگاه ضد بدافزار ایمن این افتخار را دارد که تا کنون دو گونه متفاوت از ویروس شعله را شناسایی و ضد بدافزار خود را بروز نموده است.
در پایان لازم است به این نکته اشاره شود که استاکس نت، شعله و ... آخرین تهدیدات و حملات سایبری دشمنان این خاک نخواهند بود، به امید مقابله با چنین تهدیداتی قبل از وقوع اتفاق.
کد مطلب: 1618